Jenkins 和 Gerrit 都有适用于 OpenID 2.0 的插件,但 Google 已于 2014 年 5 月 19 日 ( https://developers.google.com/accounts/docs/OpenID ) 弃用此 API,因此无法使用新安装,并且现有安装必须迁移到 OAuth2.0(OpendID 连接)。尝试使用 OpenID 2.0 时,您将收到错误消息“错误 400:OpenID 身份验证请求包含未注册的域”。
Gerrit 团队已经意识到这个问题,但目前还没有解决方案:
https://code.google.com/p/gerrit/issues/detail?id=2677
不确定 Jenkins 。
请您参考如下方法:
更新 2014/11/05 :对于那些来到这里的人,请阅读下面的第一位。感谢 hans-zandbelt对于反馈。它包含在更新版本中。设置现在使用建议的改进,仅使用 mod_rewrite 将 gerrit 注销 url 重定向到正确的位置。另请注意,不是仅使用电子邮件的非域部分,而是未经修改地使用电子邮件。这意味着如果您碰巧有现有设置,则需要更改用户名映射。
对于 Jenkins ,请执行以下操作:
对于格里特:
要么在机器上(将 GERRIT_HOME 更改为您机器上的位置):
ssh gerrit.revault.ch gerrit gsql
export GERRIT_HOME=/var/gerrit_home
pushd ${GERRIT_HOME}
java -cp $(find . -name "h2*.jar") org.h2.tools.Shell -url "jdbc:h2:file:${GERRIT_HOME}/db/ReviewDB;IFEXISTS=TRUE"
select * from ACCOUNT_EXTERNAL_IDS;
insert into ACCOUNT_EXTERNAL_IDS values(1000032, NULL,NULL, 'username:test@example.com');
insert into ACCOUNT_EXTERNAL_IDS values(1000032, NULL,NULL, 'gerrit:test@example.com');
解决方案
您可以使用 Apache 作为反向代理处理身份验证:
格里特
假设您已经安装了 Gerrit 并且它正在监听地址 10.10.10.10:8080。
您必须配置 gerrit 以使用基本身份验证,即您的 [auth] 部分
${gerrit_installation}/etc/gerrit.config 应如下所示:
[gerrit]
basePath = git
canonicalWebUrl = http://gerrit.example.com
[database]
type = h2
database = db/ReviewDB
[index]
type = LUCENE
[auth]
type = HTTP
emailFormat = {0}@example.com
httpHeader = X-Forwarded-User
[sendemail]
smtpServer = localhost
[container]
user = gerrit
javaHome = /usr/lib/jvm/java-8-oracle/jre
[sshd]
listenAddress = 10.10.10.10:2222
[httpd]
listenUrl = http://10.10.10.10:8080/
[cache]
directory = cache
用户名将在标题 X-Forwarded-User 中。这就是 Apache 将如何转发用户名
给格里特。
在 Apache 上,我们将使用支持 oauth2 的 mod_auth_openidc。欲了解更多信息和
示例文档引用 https://github.com/pingidentity/mod_auth_openidc .在最近的 Ubuntu 上安装
看起来像这样:
sudo aptitude install libjansson-dev apache2 apache2-dev libcurl4-openssl-dev build-essential autoconf libhiredis-dev
git clone https://github.com/pingidentity/mod_auth_openidc.git
cd mod_auth_openidc
./autogen.sh
./configure
make
sudo make install
sudo a2enmod auth_openidc
sudo a2enmod proxy
sudo a2enmod proxy_http
sudo a2enmod headers
sudo a2enmod rewrite
您将需要添加站点配置,例如gerrit.conf 类似于下面的(您可能也需要 TLS)到/etc/apache2/sites-available 并使用以下命令激活它:
sudo a2ensite gerrit.conf
文件/etc/apache2/sites-available/gerrit.conf 如下所示:
<VirtualHost *:80>
ServerName gerrit.example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
OIDCProviderMetadataURL https://accounts.google.com/.well-known/openid-configuration
OIDCClientID <from api console>
OIDCClientSecret <from api console>
OIDCScope "openid email profile"
OIDCRedirectURI http://gerrit.example.com/oauth2callback
OIDCCryptoPassphrase <generate long random passphrase here, no sure if used>
OIDCSessionInactivityTimeout 600
OIDCCookiePath /
OIDCAuthRequestParams hd=example.com
OIDCRemoteUserClaim email
OIDCAuthNHeader X-Forwarded-User
RewriteEngine On
#LogLevel alert rewrite:trace2
RewriteRule ^/logout$ /oauth2callback?logout=http://gerrit.example.com/ [R]
ProxyPass / http://gerrit.example.com:8080/ nocanon
ProxyPassReverse / http://gerrit.example.com:8080/
ProxyRequests Off
AllowEncodedSlashes NoDecode
<Proxy http://gerrit.example.com:8080/*>
# add rewrites here if necessary
</Proxy>
<Location />
AuthType openid-connect
Require claim hd:example.com
Require valid-user
</Location>
</VirtualHost>
为了获取参数 OIDCClientID 和 OIDCClientSecret 到 https://console.developers.google.com/project 下的 api 控制台.如果您没有先创建项目,则凭据位于项目的上下文中。例如。示例验证
在项目中转到 APIs & auth:
service apache2 restart
你应该完成!
Jenkins
假设您已经安装了 Jenkins 并且它正在监听 10.10.10.11:8080。
对于 Jenkins,配置几乎相同。您将需要安装并激活反向代理身份验证插件 http://wiki.jenkins-ci.org/display/JENKINS/Reverse+Proxy+Auth+Plugin .在“配置全局安全性”下,选中“反向代理的 HTTP header ” radio 。
默认值对应于下面的配置。您需要在 api 控制台中创建与 jenkins 主机名匹配的凭据 https://console.developers.google.com/project .像以前一样将它们报告给您的配置(例如 jenkins.conf)。这应该是全部。
<VirtualHost *:80>
ServerName jenkins.example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
OIDCProviderMetadataURL https://accounts.google.com/.well-known/openid-configuration
OIDCClientID <from api console>
OIDCClientSecret <from api console>
OIDCScope "openid email profile"
OIDCRedirectURI http://jenkins.example.com/oauth2callback
OIDCCryptoPassphrase <generate long random passphrase here, no sure if used>
OIDCSessionInactivityTimeout 600
OIDCCookiePath /
OIDCAuthRequestParams hd=example.com
OIDCRemoteUserClaim email
OIDCAuthNHeader X-Forwarded-User
ProxyPass / http://jenkins.example.com:8080/ nocanon
ProxyPassReverse / http://jenkins.example.com:8080/
ProxyRequests Off
AllowEncodedSlashes NoDecode
<Proxy http://jenkins.example.com:8080/*>
# add rewrites here if necessary
</Proxy>
<Location />
AuthType openid-connect
Require claim hd:example.com
Require valid-user
</Location>
<Location ~ "^/(cli|jnlpJars|subversion|whoAmI|computer/[^/]+/slave-agent.jnlp|tcpSlaveAgentListener)">
Satisfy Any
Allow from all
</Location>
</VirtualHost>
目前似乎不支持 mod_auth_openidc 中的组。如果您需要组,您可以安装一个 LDAP 来存储它们(但这可能不是您想要的,因为您使用的是 Google 身份验证)或等到 mod_auth_openidc 支持它。
